物特征识别 第3部分:人脸》指出:无论本地识别还是远程识别人脸样本,“应向用户明确告知所提供的产品或服务收集、使用用户人脸数据的规则,并获得用户的授权同意”。
但ZAO事件还揭示了一个通常的现象,App对数据的收集通晓人性,处于一个相对灰色的地带。“(App)可能出一个好几十页的用户条款,用户不会仔细去看。它利用的就是消费者的冲动,在游戏时想要尽快开始,把这些全部跳过去。”谭晓生说,而经过用户同意,App也确实获得了许可。
但相比线下刷脸和互联网应用这些能被消费者感知到的“刷脸”,大数据行业从业者吴伟表示,黑客攻击和内鬼作案,是黑产获得人脸识别数据的最普遍的方式。一旦发生,少则数百万,动辄数亿的个人信息将流入非法者手中。
2019年2月,视频监控公司深网视界泄露了超过250万条个人信息,包括人脸识别图像,采集地点,以及对应的姓名、身份证号码地址和生日。更早的2018年7月,上市公司数据堂多名高管被抓获,涉嫌贩卖涉及1.3亿人、容量4000GB的数据给境外企业。
在堵住黑产滥采数据的漏洞上,中国还有很长的路要走。吴伟告诉AI财经社:“其实相关部门机构内鬼是最猖獗的,有的省自建人脸识别图库时,信息出现泄露。”他透露,很多在黑产链条上流通的40K大小的人脸图片,就来自这种渠道。即使机构内部严查,合作的第三方企业也没有很高的安全意识,以致类似案件屡禁不止。
“光拿到你的人脸图像没有太大价值,值钱的是匹配的身份信息,甚至还有银行卡号等。”吴伟进一步说明。按照安全规范,企业存储人脸信息应当脱敏,将图像与身份信息分开存放。但实际上目前法律上还没有这方面的硬性规定,业务部门为了提升效率,有些会无视脱敏要求。因此一旦数据库被攻破,或者内鬼拿着U盘将信息拷走贩卖,造成的影响都非常恶劣。
不同于黑客攻击和内鬼作案是人脸所有者“被迫”交出人脸,也不乏有“自愿”献出人脸信息的情况。
已经转行成为给“过人脸”服务商们提供身份信息的“料商”孟强对这一点深有体会,甚至可以说是真真切切从中获得了利益的人。据他介绍,他曾做过一段时间的平台引流,专门负责帮人收一些微信号。
在这个过程中,他会通过给予报酬的方式吸引一批人前来,利用他们的身份信息及自己提前准备的一批手机号实名注册微信号。而为了避免出现问题,前来“卖号”的人必须首先把身份证号码、银行卡号、身份证正反面以及自己手持身份证的照片发给孟强。
正是靠着这种“自愿”方式,孟强攒下了一大批身份信息,并在目前转行做起为“过人脸”服务商提供人脸“料子”的料商。
据他介绍,自己手中目前总共有5000多套“高质量料子”,买断(其不再转卖他人)2元一套可验货,不买断5000套则只需200块,还可外送13万个“姓名+身份证号”信息,且除微信实名不能再用,其他App的通过率可以达到95%。
就是通过这种小恩小惠,很多人把自己的信息资源外泄。“如果有需要,我还可以有新的方式随时收。”孟强补充说。
至于风险,孟强他们并不以为然。
“当你玩一个软件,实名时发现(身份信息)已经被别人绑定了,你会怎么办?最多问问客服,然后解绑换绑,你也不会在意,谁会因为一个App注册不上报警呀!”“同行很多